SEBUAH STUDI KEGUNAAN DAN KEAMANAN FITUR LAYAR KUNCI POLA ANDROID (INDO)

SEBUAH STUDI KEGUNAAN DAN KEAMANAN FITUR LAYAR KUNCI POLA ANDROID

(http://www.emeraldinsight.com)

(Akbar Raihan Maghribi / 1534010008)

Metodologi

Pekerjaan ini bertujuan untuk mengungkapkan aturan heuristic perilaku yang dapat mempengaruhi informasi pola dalam perangkat Android. Tujuannya adalah untuk mensimulasikan skema otentikasi pengguna dan mengumpulkan grafis password.

Untuk tujuan ini, kami mengembangkan sebuah aplikasi (app) yang didistribusikan melalui Google Play, atau pasar Android app resmi. Peserta diizinkan menggambar pola yang sama untuk dua kategori. Akhirnya, mereka dipilih pola mereka akan lebih memilih untuk menggunakan pada perangkat mereka.

Hasil survey dan diskusi

388 peserta unik, 68.6 persen laki-laki dan 25 persen perempuan, sedangkan 6,4 persen memilih untuk tidak pengungkapan gender. Total 35.8 persen responden yang berusia antara 25 dan 39 tahun, 30.7 persen adalah antara 16 dan 24 tahun, 21.6 persen yang berusia di bawah 16 tahun, 9,8 persen adalah antara 40 dan 64 tahun, dan sisanya 2,1 persen yang berusia di atas 65 tahun.

Pendidikan sampel ini juga beragam. Total 21,1 persen dari mereka adalah mahasiswa pascasarjana, 18.3 persen adalah lulusan, 19.6 persen berada di tingkat pendidikan sekolah tinggi, 11,9 persen menempatkan diri mereka di tingkat yang lebih tinggi pendidikan (doktor) dan 29.1 persen menjawab menggunakan pilihan "none".

Mengenai penggunaan kunci layar mekanisme, 23,5 persen dari peserta menggunakan pola kunci skema, yang paling populer kunci layar mekanisme dalam sampel kami.

Kesimpulan

Membuat password grafis adalah proses yang melibatkan rangsangan visual, memahami keamanan dan bawah sadar bias didorong dengan cara kita digunakan untuk bertindak dalam kehidupan sehari-hari. Dalam tulisan ini, kami mengembangkan Android app untuk melakukan survey yang akan mengumpulkan set pola-pola yang berguna dan aman. Kami menganalisis pola yang dikumpulkan untuk mempelajari keberadaan heuristic aturan yang dapat mempengaruhi pembentukan sebuah password grafis. Selanjutnya, kami menggunakan temuan kami dalam studi kasus untuk menekankan pentingnya keseimbangan antara kegunaan dan keamanan.

Pengguna untuk menciptakan pola-pola yang lebih kompleks dengan termasuk knight pelatihan bergerak, tumpang tindih node dan titik awal acak dapat menghindari serangan perilaku seperti yang disajikan dalam karya ini.

Entropi adalah ukuran yang digunakan untuk menggambarkan ketidakpastian dalam variabel acak. Sebagai pekerjaan masa depan, kami berencana untuk membandingkan hasil empiris kami dengan entropic langkah-langkah yang biasanya digunakan dalam teori informasi. Lain arah masa depan penelitian akan penciptaan dari password meter yang memperingatkan pengguna tentang kekuatan password grafis pilihan.

A STUDY ON USABILITY AND SECURITY FEATURES OF THE ANDROID PATTERN LOCK SCREEN (ENG)

A STUDY ON USABILITY AND SECURITY FEATURES OF THE ANDROID PATTERN LOCK SCREEN

(http://www.emeraldinsight.com)

(Akbar Raihan Maghribi / 1534010008)

Methodology

The work aims to reveal behavioural heuristic rules that might affect the information of patterns in Android devices. The goal is to simulate the user authentication scheme and collect graphical passwords.

To this end, we developed an application (app) that was distributed through Google Play, or Android official app marketplace. The participants were allowed to draw the same pattern for the two categories. Finally, they selected the pattern they would prefer to use on their device.

Survey results and discussion

Of 388 unique participants, 68.6 percent were male and 25 percent were female, whereas 6.4 percent chose not to disclosure their gender. A total of 35.8 percent of the respondents were aged between 25 and 39 years, 30.7 percent were between 16 and 24 years, 21.6 percent were aged under 16 years, 9.8 percent were between 40 and 64 years, and the rest 2.1 percent were aged over 65 years.

The education of the sample is also diverse. A total of 21.1 percent of them were postgraduates, 18.3 percent were graduates, 19.6 percent were on high-school educational level, 11.9 percent placed themselves in higher levels of education (doctorate) and 29.1 percent replied using the choice “none”.

Regarding the use of lock screen mechanisms, 23.5 per cent of the participants use the pattern lock scheme, which was the most popular lock screen mechanism in our sample.

Conclusion

Creating a  graphical password is a process that involves visual stimuli, understanding of security and subconscious biases driven by the way we are used to act in our daily lives. In this paper, we developed an Android app to conduct a survey that would collect sets of usable and secure patterns. We analysed the collected patterns to study the existence of heuristic rules that may affect the formation of such a graphical password. Subsequently, we used our findings in a case study to stress the importance of the balance between usability and security.

Training users to create more complex patterns by including knight moves, overlapping

nodes and random starting points can avoid behavioural attacks as the ones presented in this work.

Entropy is a measure used to describe the uncertainty in a random variable. As future work, we plan to compare our empirical results with entropic measures that are commonly used in information theory. Another direction of future research would be the creation of a password meter that warns users about the strength of a chosen graphical password.

Phising Internet

(Akbar Raihan Maghribi / 1534010008)

Pendahuluan

            Dunia internet saat ini sudah sangat berkembang pesat. Masyarakat dapat menggunakan internet dalam berbagai hal, contohnya yaitu berbelanja online dan mengisi data diri pada website yang menyediakan sistem database.

Latar Belakang

            Dalam dunia internet, terdapat istilah Cybercrime. Yaitu kejahatan dalam dunia internet yang sangat merugikan masyarakat. Cybercrime sendiri memang berkembang dikarenakan hacker-hacker saat ini sudah sangat maju. Mereka menggunakan internet untuk keperluan mereka sendiri. Salah satunya yaitu phising. Phising adalah cara untuk mencoba mendapatkan informasi seperti username, password, dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. Komunikasi yang mengaku berasal dari populer situs web sosial, situs lelang, prosesor pembayaran online atau IT administrator biasanya digunakan untuk memikat publik tidak curiga. Phising biasanya dilakukan melalui e-mail spoofing atau pesan instan, dan sering mengarahkan pengguna untuk memasukkan rincian di sebuah website palsu yang tampilan dan nuansa yang hampir sama dengan yang aslinya.

Phising

            Melalui sarana tersebut korban dikendalikan untuk menyerahkan informasi-informasi rahasia yang diinginkan. Karena itu, phising tergolong dalam bentuk social engineering. Nama ini sebetulnya merupakan akronim dari sebuah jargon, yaitu password harvesting fishing. Serangan phishing menggunakan penipuan email untuk memikat penerimanya menuju situs jaringan yang tidak benar. Penipuan e-mail pengubahan metadata/header email melalui protokol SMTP (simple mail transfer protocol) sehingga pengirim dapat memalsukan identitas dirinya menjadi pihak lain yang dikenal oleh penerima.

Masalah utama terjadinya praktek phishing adalah ketiadaan pemeriksaan asal e-mail. SMTP (Simple Mail Transfer Protocol) alamat apapun, sehingga phishers dapat memanfaatkannya untuk memperdaya penerima e-mail . Celakanya, sebesar 5% dari seluruh target phishing menanggapi penipuan e-mail ini. Akibatnya, banyak pengguna menderita berbagai kerugian berupa pemakaian kartu kredit oleh pihak yang tidak bertanggung jawab, pencurian indentitas, dan kerugian lainnya. Teknik umum yang sering digunakan oleh phisher adalah sebagai berikut           :

·         Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan pengguna internet sehingga pengguna internet terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit

·         Membuat situs palsu yang sama persis dengan situs resmi, atau pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.

·         Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.

·         Social Engineering, masyarakat memiliki sebuah reaksi terhadap kejadian-kejadian penting, teknik ini sangat ampuh digunakan oleh hacker untuk menangkap informasi-informasi penting tanpa usaha yang rumit, seperti mengirimkan header email “Bantulah Rakyat Aceh yang tertimpa Tsunami, kirimkan informasi anda sebagai volunteer”, header email lain yang menyentuh “Bantulah Korban Bencana Alam Situ Gintung, kirimkan secuil harta anda kepada mereka”, dan lainnya.

·         Manipulasi Link, teknik ini adalah menyesatkan user dengan mengklik salah satu URL yang ada di email legimate yang dikirimkan oleh hacker, seluruh email isinya asli dari perusahaan yang mengirimkannya, tetapi ada salah satu link yang dibelokkan oleh hacker yang akan menuju ke server lain yang bukan server sebenarnya (unlegitimate server). Nah, informasi user akan tertangkap oleh server palsu tersebut.

·         Filter Evasion, seorang ahli phisher/hacker akan menggunakan teknik ini untuk menghindari jeratan/filter phishing, biasanya akan menempelkan image untuk phishing, sehingga filter phishing yang dibuat oleh developer tidak dapat mengetahui adanya phishing atau tidak.

·         Website Forgery, seorang user sebagai korban yang mengunjungi website phishing tidak dapat mengetahui secara pasti, apakah website tersebut asli atau palsu, karena website akan dibuat sedemikian rupa sama dengan aslinya. Mungkin Anda masih ingat kasus website palsu clickbca.com atau kilkbca.com yang digunakan untuk menangkap username dan password user yang salah ketik ke situs tersebut.

Trik yang dilakukan Phisher semakin bervariasi saja. Setelah ‘memancing’ data pribadi (phishing), kini makin ramai variasi phishing yang bernama spear-phishing (menombak) alias trojan bertarget.
Spear-phishing lebih berpotensi untuk mengancam daripada phishing biasa. Pasalnya pelaku menargetkan korban-korban spesifik.

Dampak dari Phising

            Dampak dari phising yaitu hacker dapat mengetahui data-data kita yang dapat digunakan untuk mengakses kartu kredit, mengakses suatu website dan kemudian data kita dicuri. Phising adalah suatu kejahatan yang sangat merugikan masyarakat umum karena hacker pada kegiatan ini ingin mencuri data dari yang kita isikan.

Cara Meminimalkan Phising

            Sedikit Tips Menghindari Kejahatan Phising :

1.       Jangan langsung membalas e-mail yang berasal dari insitusi keuangan, sebelum itu coba hubungi dulu pihak bank anda untuk memastikan kebenaran e-mail tersebut.

2.       Perhatikan kesalahan ketik atau tata bahasa yang kurang tepat pada pesan e-mail yang telah dikirimkan.

3.       Cermati simbol @ pada alamat website yang tertera pada pesan e-mail. Bisa jadi alamat website tersebut bertuliskan:
-xxxx- Alamat e-mail ini telah dilindungi dari tindakan spam bots, Anda butuh Javascript dan diaktifkan untuk melihatnya Browser tidak akan memproses semua tulisan sebelum simbol “@”. Jadi, pencuri bisa saja meletakkan alamat website pribadinya setelah simbol “@”. Website tersebutlah yang akan anda kunjungi, untuk itu sebaiknya selalu perhatikan alamat website yang tertera pada link.

4.       Biasanya beberapa karakter dalam alamat website bank bisa diganti dengan karakter yang hampir sama. Sebagai contoh, huruf L diganti dengan angka “1″. Kedua karakter ini sekilas terlihat sama. Website w*w.paypal.com mungkin bisa diubah menjadi paypa1.com dan anda mungkin tidak menyadari perbedaan ini.

5.        Saat website bank ditampilkan, perhatikan icon gembok yang berda di bagian bawah browser Website. Jika ada, berarti website tersebut aman. Jika icon gembok tidak ada, segera tutup browser tersebut.

6.       Untuk situs sosial seperti Facebook, buat bookmark untuk halaman login atau mengetik URL www.facebook.com secara langsung di browser address bar.

7.       Jangan mengklik link pada pesan email.

8.        Hanya mengetik data rahasia pada website yang aman.

9.        Mengecek akun bank Anda secara regular dan melaporkan apapun yang mencurigakan kepada bank Anda

10.    Kenali tanda giveaway yang ada dalam email phising:
- Jika hal itu tidak ditujukan secara personal kepada anda.
- Jika anda bukan satu-satunya penerima email.
- Jika terdapat kesalahan ejaan, tata bahasa atau sintaks yang buruk atau kekakuan lainnya dalam penggunaan bahasa. Biasanya ini dilakukan penyebar phising untuk mencegah filtering.

11.   Menginstall software untuk kemanan internet dan tetap mengupdate antivirus.

12.   Menginstall patch keamanan.

13.   Waspada terhadap email dan pesan instan yang tidak diminta.

14.   Berhati-hati ketika login yang meminta hak Administrator. Cermati alamat URL-nya yang ada di address bar.

15.   Back up data anda.

Kesimpulan

1. Phishing adalah tindakan memperoleh informasi pribadi seperti User ID, Password dan data-data sensitif lainnya dengan menyamar sebagai orang atau organisasi yang berwenang melalui sebuah email.
2. Kebanyakan dari teknik phising adalah melakukan manipulasi sebuah link di dalam email yang akan dikirimkan ke korbannya. Dengan adanya email, praktek phising terbilang mudah hanya dengan melakukan spam pada email dan kemudian menunggu korbannya untuk masuk kedalam tipuannya.
3. Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit.
4. Tidak hanya di internet, phishing juga bisa berlaku dalam dunia jaringan komunikasi seluler, modusnya kebanyakan adalah mengenai pembelian voucher prabayar, tapi ada juga yang menggunakan kebohongan bahwa calon korban mendapatkan hadiah undian melalui SMS.
5. Phisher mengambil keuntungan dari kerentanan keamanan web untuk mendapatkan informasi sensitif yang digunakan untuk tujuan penipuan.
6. Beberapa extensions Firefox yang bisa digunakan untuk melawan serangan phishing : PhishTank SiteChecker, Google Safe Browsing, WOT, Verisign EV Green Bar, ITrustPage, Finjan SecureBrowsing, FirePhish, CallingID Link Advisor, SpoofStick, dan TrustBar.

 Sumber :

http://vendryfranandha.blogspot.co.id/2013/05/pengertian-phising.html
http://andipangerang.blogspot.co.id/2011/04/cara-melakukan-phising-penyadapan-untuk.html